技術型文檔,我是非常樂于分享的,不管什麼技術,但是有關安全技術這一塊,非常的敏感,一般人都不喜歡拿來分享的,主要是怕惹出事來,我也基于同意的觀念,弄出點問題真的不太好,是以就分享一篇如何來清除病毒的文檔,軟體自己去下載下傳,不提供
實驗一:變種的熊貓燒香
實驗環境:在虛拟機中進行
把這個變種的熊貓檔案拷貝到虛拟機中
現在發現打開任務管理器時,它會立馬的自動的關掉
下面發現在運作中連msconfig也無法的運作,輸入後,然後點選回車,會發現立馬的自動的結束掉
下面發現在D盤中自動的生存了兩個檔案,現在我們來删除掉這兩個檔案,發現删除不了
現在發現有出現了
現在系統盤裡面也出現了兩個病毒檔案
下面我們通過指令的方式把它給結束掉,現在最關鍵的是自己要非常熟悉這些常用的服務的程序,這樣才能夠比較容易的辨識出那些是病毒檔案,下面的這個spoclsv.exe這個檔案就是熊貓燒香的變種的病毒檔案,這個檔案與列印機的開放程序很相似,若對程序不熟悉,你一定會認為這是一個正常的程序
下面就用指令的方式把下面的一個程序結束掉
下面就可以把這些存在在系統盤還是其它盤的病毒檔案給删除
現在發現程序可以被打開了
現在發現指令msconfig也可以用了,下面把被框上的地方的勾給去掉
下面還要到系統資料庫中檢視一下,發現系統資料庫中沒有問題
下面還要回到系統盤,在系統盤的C:\WINDOWS\system32\drivers下面把被框上那個檔案删除掉
現在再來重新開機一下,發現下面的勾沒有被勾上
下面發現可以打開程序
然後去檢視剛剛被我們删除的檔案是否還存在,若不存在說明病毒已被我清除幹淨了,很明顯下面沒有剛剛删除的病毒,說明清除成功
實驗二:club病毒的清除
實驗環境在虛拟機中操作
下面把club.exe這個檔案拷貝到虛拟機中,然後讓機開始讓這個虛拟機感染病毒
下面發現程序中多了三個可以的程序,我們嘗試去删除,發現删了後又有,那麼這時就可以肯定這定是病毒
下面發現在打開系統配置實用程式時發現下面的四個程序是要被結束掉的,下面我們就把他們的勾全部給去掉,讓它重新開機時無法啟用,但是我這樣做的時候還是存在
下面來用指令的方法來結束掉
現在在程序中這三個程序被結束掉了,但是卻沒有成功的清除掉殘留的哦病毒檔案
下面到系統資料庫中把下面的三個系統資料庫給删除掉
下面打開shell,然後把C:\WINDOWS\system32下的winsit.exe給删掉
下面把來把下面的病毒或可以的檔案給一一删掉,特别是要注意檔案的時間是否被更改了,這一點非常的重要,因為它可以很容易的辨識出系統中的那些檔案是可疑的,不該存在的
把上面所有的要删除的病毒删除後,然後再重新起啟動一下電腦,然後是檢視程序,看看那三個病毒檔案是否還存在,然後是通過msconfig檢視系統的配置應用程式,看看下面的四個勾是否被自動的勾上了,還要做的事是去檢視一下剛剛被我們所删除的病毒檔案還有沒有,若沒有,那麼說明病毒已被我們清除幹淨了
本文轉自 vbers 51CTO部落格,原文連結:http://blog.51cto.com/vbers/2052106,如需轉載請自行聯系原作者